SSL 인증서 모니터링

SSL 갱신 누락의 비용

SSL 인증서가 23:59:59에 만료되면 점진적으로 약화되지 않습니다. 다음 날 00:00:00이 되면 모든 브라우저가 전체 화면 보안 경고를 표시하고, 모든 API 클라이언트는 TLS 핸드셰이크에서 실패하며, 모든 웹훅 통합은 오류를 반환하고, 모든 검색 엔진은 검색 순위를 낮추고, 이메일까지 해당 인증서가 SMTP를 덮었다면 모두 반송됩니다. 해결은 빠릅니다 - 재발급, 재배포 - 하지만 만료와 해결 사이의 시간은 냉혹합니다. 아무도 자정 이전에 인증서를 확인하는 것이 아니라, 항상 그 이후이기 때문입니다.

SSL 모니터링은 자정 전에 미리 알아채기 위해 존재합니다. 모니터는 살아있는 호스트에서 인증서를 읽고, 유효 기간을 파싱하여 충분히 미리 - 30일, 14일, 7일, 3일, 1일 전에 - 경고합니다. 그래서 갱신은 절대 갑작스럽게 다가오지 않습니다.

모니터링되는 항목

모니터링되는 각 HTTPS 사이트에 대해 DiagnoSEO Uptime Monitoring은 TLS 연결을 열어 피어 인증서를 수집하고 파싱합니다. 대시보드에서 아래 내용을 기록합니다:

• 유효성: 인증서가 현재 유효 기간 내입니까?
• 만료까지 남은 일수: 구르는 카운트로, 색상 배지(30일 초과 녹색, 8~30일 주황, 8일 미만 빨강)로 표시됩니다.
• 만료일: 정확한 날짜.
• 발급자: 인증서를 서명한 기관(Let's Encrypt, DigiCert, GlobalSign 등)
• 주체: 인증서의 common name.

인증서가 유효하지 않게 되면 - 만료, 잘못된 호스트네임, 깨진 체인, self-signed(불허 시) - 모니터는 HTTP 상태와 상관없이 SSL invalid를 보고합니다. "HTTPS는 깨졌지만 서버는 동작"하는 상태가 즉시 드러납니다.

경고 임계값

도구는 SSL 만료 30, 14, 7, 3, 1일 전에 다섯 단계로 SSL 경고를 발송합니다. 각 단계는 별도 알림입니다. 이메일과 텔레그램을 모두 켜뒀다면 만료가 가까워질수록 다섯 번의 알림, 점점 긴급한 알림을 받게 됩니다. 첫 번째(30일 전)는 계획을 위한 것입니다. 14일 전 알림은 "이번 주에 꼭 하세요"의 의미입니다. 7/3/1일 알림은 만약 갱신이 아직 되지 않아 누군가 당장 조치를 취해야 할 때입니다.

각 채널별로 비활성화할 수 있습니다. 어떤 팀은 이메일로만 SSL 경고를 받고 싶고, 슬랙/텔레그램은 받아보고 싶지 않을 수 있습니다(알림이 노이즈에 묻힐 수 있음). 알림 설정에서 조정하세요.

자동 갱신만으로는 부족한 이유

Let's Encrypt를 certbot 등과 함께 쓰는 경우 SSL 모니터링이 필요 없다고 생각할 수 있습니다. 그렇지 않습니다. 자동 갱신은 여러 경로로 실패할 수 있습니다: certbot 계정 이메일이 무효화되거나, 파이어월 규칙 변경으로 ACME 챌린지가 실패하거나, 갱신 cron이 동작하지 않거나, 컨테이너 재시작이 갱신 상태를 지워버리거나, 도메인 검증이 DNS 변경으로 깨질 수 있습니다. 이 모든 경우 인증서는 만료로 향하고, 자동 갱신만으로는 구제받을 수 없습니다. SSL 모니터링은 자동화가 놓친 빈틈을 잡아내는 안전망입니다.

사내 인증서(기업 CA, mutual TLS)의 경우는 보통 자동 갱신 자체가 없습니다 - SSL 모니터링이 갱신 필요성을 알리는 유일한 능동 신호입니다.

설정

SSL 모니터링은 DiagnoSEO Uptime Monitoring의 모든 HTTPS 모니터에 자동 적용됩니다. 별도로 켤 필요가 없습니다. 모니터를 추가한 후 24시간 내 또는 "지금 확인"을 클릭하면, 테이블의 SSL 섹션이 발급자, 만료일, 남은 일수로 채워집니다. 이 시점부터 모니터는 인증서를 지켜보며 30/14/7/3/1일 임계점에서 경고를 발송합니다.

HTTPS가 아닌 모니터에는 SSL이 생략됩니다. 커스텀 SSL 포트를 쓰는 모니터의 경우 도구가 적합한 포트(기본은 443; SMTPS는 465, IMAPS는 993 등, 모니터 타입에 따라)를 시도합니다.

자주 묻는 질문

• SSL 만료 전에 얼마나 미리 경고를 받아야 할까요?

  기본 경고 임계값은 만료 30일, 14일, 7일, 3일, 1일 전입니다. 30일 알림은 업무 시간 내 갱신을 계획할 수 있게 해주며, 더 짧은 단계의 알림은 긴급도를 높입니다. 자동 갱신(예: Let's Encrypt + certbot)에 의존한다면 7일 전 알림이 실제로 갱신이 이루어졌는지 확인하는 타이밍입니다 — 갱신 자동화의 조용한 실패는 흔하며, 이것은 독립적인 모니터링만이 감지할 수 있습니다.

• SSL 모니터링이 체인 문제나 호스트네임 불일치도 감지하나요?

  네. 모니터는 실제 TLS 핸드셰이크를 실행하고, 서빙되는 인증서를 확인합니다. 인증서가 만료되거나, self-signed이거나, CN/SAN이 호스트네임과 맞지 않거나, 미인증 CA에서 서명되었다면 체크는 구체적인 오류와 함께 실패합니다. 이는 "기술적으로는 유효하지만 잘못 설치된 인증서"와 같은 문제도 감지해, 브라우저에서 경고되는 상황도 잡아냅니다.

• 인증서는 유효한데 중간 CA가 누락되면 어떻게 되나요?

  중간 인증서 누락은 많은 TLS 클라이언트(curl, 구형 안드로이드 기기 등)에서 "chain incomplete" 오류를 일으킬 수 있으며, 데스크톱 브라우저는 체인을 자동으로 받아와 완성할 수 있습니다. 당사의 SSL 체크는 완전하고 유효한 체인을 요구합니다 — 중간이 누락되면 체크가 실패하고, 모바일 사용자들이 이 문제를 발견하기 전에 먼저 표시됩니다.

• 커스텀 포트(예: 8443, 메일 서버)에서도 SSL 모니터링이 가능한가요?

  네 — 포트가 포함된 모니터 URL(예: https://api.example.com:8443/)을 설정하세요. 모니터가 해당 포트로 TLS 핸드셰이크를 시도해 인증서를 읽어옵니다. SMTP STARTTLS, IMAP/POP3 TLS 등 TLS를 커스텀 포트에 래핑하는 모든 프로토콜도 동일하게 동작합니다.

• SSL 모니터링이 추가 크레딧을 소모하나요?

  아닙니다. TLS 핸드셰이크와 인증서 검사는 각 HTTPS 체크의 일부로 진행되며, 별도 비용이 없습니다. 5단계 만료 알림도 무료입니다. 도메인 만료용 WHOIS 조회만 별도 일일 스케줄로 동작합니다.